ADAS系统安全架构设计及安全等级的分解.pdf

随着汽车行业电气化智能化的快速发展，功能安全标准ISO26262

逐渐被各大汽车制造企业及零部件供应商重视。近期，《智能网联汽车生

产企业及产品准入指南》明确将功能安全和预期功能安全作为汽车制造和

生产的准入要求，体现了国家对于汽车安全的重视，功能安全的实施与否

已经成为了衡量汽车制造企业及零部件供应商造车能力的关键性指标。

然而，功能安全标准的发布和实施历史并不悠久。根据笔者观察，尤其国

内大部分汽车制造和零部件供应商企业，基本从2014年起才开始关注功

能安全设计。因此功能安全在国内的发展其实还远未达到成熟期，可以说

目前依然处于概念建立期或者快速发展期。因此，面对日新月异的汽车

电子电气系统的发展，如何正确地理解或者考虑该产品的安全设计给很多

同行带来了困惑。

对于一个系统，架构设计通常决定了该系统的整体性能表现，而功能

安全标准对架构设计的要求及安全分析方法论引用比较复杂，如何在系统

设计之初，合理并充分的考虑其安全设计成为了当前很多同行在做安全设

计的一个难点。笔者从事功能安全领域工作八年有余，有过多家外企合

资企业的三电系统，ADAS系统相关产品的安全开发设计经验。此次受

SESETECH安全技术论坛邀请，结合个人经验分享一下对系统安全架构设计

的浅薄理解，希望能够解决部分同行对于安全架构设计的痛点。限于个人

认知，此文仅供各位同行交流讨论，不针对任何企业或者产品安全提出设

计建议。内容框架：

安全架构设计必须了解的术语及安全方法说明

E-GAS三层架构的理解及使用约束

ADAS系统安全架构设计及安全等级的分解

安全架构设计必须了解的术语及安全方法说明

在ISO26262的第三部分，第四部分及第九部分，提到了很多关于系

统或者相关项的安全术语，包括故障类型判断，安全分解策略，故障控制

/避免措施，等。如何正确地理解并应用这些术语及背后的方法论，对于

安全架构设计尤为重要。本文主要针对涉及到系统安全架构设计的必要术

语进行一些系统性阐述，帮助大家理解其中关系。

故障控制措施（Faultcontrol）和故障避免措施（Fault

avoidance）

在功能安全标准或者一些教学中，经常会提到系统性失效和随机硬件

失效两个概念作为电子电气系统的两大失效来源。在安全设计时，我们应

当理解，并非所有的失效都能够通过安全机制来诊断或者控制，例如，基

于系统层面FMEA或者FTA分析，导出可能违背安全目标的可能失效来源

后，需要基于具体的失效原因制定对应的安全措施。对于某个器件的随

机硬件失效或者某个功能的系统性失效，如果可以通过特定安全机制进行

诊断或者控制达到安全状态的，我们把这一类安全措施归纳为故障控制措

施。（本文提到的故障控制措施包含故障诊断以及容错（fault

tolerance））对于某个算法或者安全控制逻辑设计如果没有可以采用的

安全机制能够对它合理性进行诊断及控制，那么就应该功能实现本身设计

为对应的安全等级以对该功能的系统性失效进行覆盖，我们把它归纳为故

障避免措施。需要注意的是，从安全分解的角度，对于故障控制措施的

安全需求，我们通常无需考虑进一步分解，对该功能直接进行对应安全级

别的设计即可；对于故障避免措施的安全需求，如果有必要，我们才需要

考虑进行进一步ASIL分解，进行冗余设计。（本文提到的故障避免措

施，仅指代在功能设计时应当考虑的通过符合该功能安全设计流程和方法

用于降低故障发生概率，其广泛含义还包含各阶段的安全分析，确认等标

准要求的安全活动。）

安全分解（DecomposiTIon）和分配（AllocaTIon）

对于安全分解和分配，通常在上游安全需求往下游设计细化时考虑。

其中，安全分解并非是必须的，而安全分配则是必须的。在考虑安全分解

或者分配时，需要有一定程度细化的系统初始架构，包括物理和逻辑架

构。结合系统安全分析FTA，FMEA识别的故障控制措施或者故障避免措

施，将安全相关的诊断或者控制需求分配到架构元素中去。进行安全分

配和分解考虑时需要注意：

分配最简原则

如果对于某个安全目标或者故障控制措施，能够由系统架构中的一个

单独元素完成。则将该安全功能完全分配到该元素中去，并保持该功能元

素与其他非安全功能之间的独立性。

分配最后原则

如果对于某个安全目标或者故障控制措施，能够由一条安全关键路径

的最后一个元素来实施，那么